I ricercatori di Google hanno individuato diversi siti web dannosi che, una volta visitati utilizzando un iPhone, compromettono la sicurezza del dispositivo, sfruttando vulnerabilità della piattaforma software - le versioni interessate vanno da iOS 10 a iOS 12. Tali falle sono state sfruttate per almeno un paio d'anni ai danni di inconsapevoli utenti che hanno aperto i suddetti siti - si fa riferimento a migliaia di visite a settimana. E' corretto premettere che:
- Google ha segnalato privatamente le vulnerabilità ad Apple a febbraio scorso
- Apple ha rilasciato 6 giorni dopo la segnalazione le opportune correzioni integrandole in iOS 12.1.4
I ricercatori hanno individuato cinque distinte catene di exploit che hanno sfruttato 12 falle nella sicurezza del sistema operativo di Apple, di cui sette riconducibili al browser Safari. Le cinque catene di attacco hanno consentito agli hacker di ottenere i privilegi di root, ovvero il più elevato livello di controllo del dispositivo che consente, ad esempio, l'installazione di applicazioni dannose e di monitorare l'attività dell'utente a sua insaputa.
Non si è trattato di rischi solo teorici, visto che in base alle indagini effettuate da Google è emerso che le vulnerabilità sono state concretamente utilizzate per sottrarre foto e messaggi e per tracciare in tempo reale la posizione. Non si può escludere a priori anche l'accesso alle password memorizzate nel dispositivo.
iOS 12.1.4, come detto, ha chiuso le falle, ma quanto riportato da Google è utile per tornare a riflettere sui rischi della sicurezza che si determinano effettuando operazioni molto semplici come la navigazione internet e senza interagire in alcun modo con i siti web (basta semplicemente aprire quelli dannosi senza alcuna selezione di elementi in essi contenuti): la semplice visita del sito compromesso è stata sufficiente affinché il server dell'exploit attaccasse il dispositivo e, se l'attacco ha avuto esito positivo, ad installare un impianto per il monitoraggio, sottolinea Ian Beer di Project Zero.
Altra ragione per non archiviare del tutto l'analisi di Google sta nel fatto, come conferma Beer, che è possibile che analoghe campagne hacking siano tuttora in corso. La tipologia di attacco descritta è particolarmente insidiosa, visto che i siti visitati possono risultare del tutto leciti agli occhi degli utenti finali; in questo caso, il filtro deve essere a posto monte - ovvero eliminando le vulnerabilità. Apple si sta muovendo attivamente in questa direzione come dimostra il recente provvedimento che prevede una ricompensa di 1 milione di dollari per chi trova il modo di accedere al kernel di iPhone da remoto e senza alcuna interazione da parte dell'utente.
https://www.hdblog.it/2019/08/30/google-sicurezza-iphone-apple-ios-12-1-4/
2019-08-30 06:01:22Z
52781719200449
Bagikan Berita Ini
0 Response to "Google: iPhone hackerati visitando siti web dannosi (vulnerabilità corrette) - HDblog"
Post a Comment